Geht es um IT-Sicherheit und Cyber-Resilienz sind Finanzinstitute und Versicherer in Deutschland durchaus gut aufgestellt, wie der im Mai veröffentlichte Report "Von Cyber Security zur Cyber Resilience - Strategien im Umgang mit einer steigenden Bedrohungslage" von KPMG und Lünendonk & Hossenfelder belegt. Dennoch gebe es noch Luft nach oben.
Für die Studie wurden insgesamt 100 Verantwortliche für IT-Security von Unternehmen verschiedener Branchen mit einem Umsatz von mehr als 250 Millionen Euro befragt. 50 Prozent der Firmen kommen aus dem Finanzsektor.
Bedrohung nimmt zu
Mehr als acht von zehn (84 Prozent) Studienteilnehmern geben an, dass die Bedrohung durch Cyber-Angriffe gegenüber dem Vorjahr zugenommen habe. Die Befragten führen dies auf Distributed-Denial-of-Service-Angriffe, kurz DDoS, (71 Prozent), Phishing- oder Ransomware-Attacken und die Nutzung von unautorisierten Geräten wie USB-Sticks an Unternehmensnetzwerken (jeweils 64 Prozent) zurück. Dabei schätzen allerdings neun von zehn Teilnehmer ihre Fähigkeiten, Cyber-Angriffe frühzeitig zu erkennen und abzuwehren, als hoch ein.
Diese Wahrnehmung könne auch damit zusammenhängen, "dass viele Cyber-Angriffe gar nicht erkannt werden und sich die Befragten möglicherweise in falscher Sicherheit wiegen", so die Studienautoren. Dennoch attestieren die Experten den Finanzdienstleistern ein höheres Schutzniveau.
Regulatorik als Treiber für Cyber-Sicherheit
Sechs Prozent der Befragten aus dieser Sparte geben an, dass der Statzs der Cyber-Sicherheit regelmäßig mit Kennzahlen (KPI) gemessen werde. Nur Telekommunikation und Medien haben mit 100 Prozent einen noch höheren Wert. Zudem führen 58 Prozent regelmäßig ein so genanntes Pentesting ihrer IT-Systeme durch, das einen Hacker-Angriff fingiert. Und bei 71 Prozent der Banken, Versicherer und Asset Manager ist bereits ein privilegiertes Access Management (PAM) eingeführt oder wird gerade umgesetzt.
Die Aktivitäten in dem Sektor führen die Studienautoren unter anderem auf die aktuelle Regulatorik wie BAIT, VAIT oder KAIT zurück, die neuen Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) sowie die letzten europäischen Rechtsakte - etwa der Digital Operational Resilience Act (DORA) und die Cyber-Security-Richtlinie Network and Information Security 2 (NIS2). Alle enthalten klare Vorgaben für die Finanzbranche.
Hier gibt es Optimierungsbedarf
Optimierungsbedarf gibt es vor allem bei den Identitäten und Daten. Laut Report sind sie aktuell das häufigste Einfallstor für Kriminelle. Hier kann ein so genanntes Privilegiertes Access Management (PAM) gute Dienste leisten. Als Teilbereich des Identity & Access Managements (IAM) dient es dazu, hoch privilegierte Benutzerkonten wie Systemadministratoren und die damit verbundenen Berechtigungen in IT-Systemen sicher zu organisieren und zu verwalten. Laut der Studienautoren ist es unverzichtbar, „um die Zugriffsrechte jedes Mitarbeitenden kontinuierlich zu überprüfen und auf ein notwendiges Minimum zu reduzieren“. Daher steht das IAM bei 89 Prozent der Unternehmen auf der Agenda.
Insgesamt sollte die Entwicklung von Strategien zur Cyber-Security stärker vom Vorstand oder der Geschäftsführung getrieben werden. Doch nur in 14 Prozent der Fälle erhalte das Thema im Top-Management auch wirklich die erforderliche Aufmerksamkeit. Oft drehe sich weiterhin alles um wirtschaftliche Kennzahlen. Die IT-Sicherheit rücke erst dann ins Blickfeld, wenn ein Angriff passiert ist.
Immerhin sagen 30 Prozent der Finanzdienstleister, dass eine dedizierte Cyber-Security-Einheit bei der Erarbeitung der Strategie mitwirkt. Diese sollte in den Unternehmen auf Basis der Bedrohungslage operationalisiert und gelebt werden, fordern die Studienautoren. Hierfür müssen zunächst individuelle Cyber-Vektoren innerhalb einer 360-Grad-Analyse ermittelt werden. Daraus lassen sich im zweiten Schritt konkrete Maßnahmen ableiten. Deren Umsetzung erfolgt dann am besten als End-to-End-Ansatz (E2E-Ansatz), der die verschiedenen Anwendungen und Prozesse miteinander verzahnt.
Autor(en): Angelika Breinich-Schilly
